Vulnérabilité dans SpamAssassin

Gestion du document

Référence	CERTA-2007-AVI-094-001
Titre	Vulnérabilité dans SpamAssassin
Date de la première version	16 février 2007
Date de la dernière version	13 mars 2007
Source(s)	Annonce de SpamAssassin 3.1.8 du 13 février 2007
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risque

Déni de service à distance.

Systèmes affectés

SpamAssassin versions 3.1.x.

Résumé

Une vulnérabilité présente dans SpamAssassin permet de réaliser un déni de service.

Description

Une vulnérabilité dans le traitement des adresses réticulaires présentes à l'intérieur des messages permet à un utilisateur distant de réaliser un déni de service par le biais d'un message spécialement conçu.

Solution

La version 3.1.8 de SpamAssassin corrige le problème.

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Annonce de SpamAssassin 3.1.8 du 13 février 2007 :

http://svn.apache.org/repos/asf/spamassassin/branches/3.1/build/announcements/3.1.8.txt

Référence CVE CVE-2007-0451 :

https://www.cve.org/CVERecord?id=CVE-2007-0451

Mise à jour de sécurité Red Hat :

http://rhn.redhat.com/errata/RHSA-2007-0074.html

Mise à jour de sécurité Fedora 5 :
```
http://fedoranews.org/cms/node/2657
```
Mise à jour de sécurité Fedora 6 :
```
http://fedoranews.org/cms/node/2659
```

Mise à jour de sécurité Mandriva :

http://www.mandriva.com/security/advisories?name=MDKSA-2007:049

Mise à jour de sécurité Gentoo :

http://www.gentoo.org/security/en/glsa/glsa-200703-02.xml

Gestion détaillée du document

le 16 février 2007: version initiale ;

le 13 mars 2007: ajout des mises à jour de sécurité Gentoo, Fedora, Mandriva, Red Hat.

Avis du CERT-FR

Objet: Vulnérabilité dans SpamAssassin